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Okta’s Commitment to Security & Privac 


Okta is committed to achieving and preserving the trust of our customers, by providing a 
comprehensive security and privacy program that carefully considers data protection matters 
across our suite of products and services. 


This documentation describes the security-related and privacy-related practices that Okta 
follows for the on-premise Okta Access Gateway software product and software updates or 
modifications (“Updates”) to the foregoing (collectively, the “Software’”). 


Okta has commissioned a third-party review of the Software’s code base, to 
verify the identity of third-party (including open source) components that are 
included in the Software. Okta commissions third-party reviews from time to 
time, as necessary in its discretion, to perform additional reviews of the 
Software’s code base, if and to the extent that the Software is updated. 


If Okta elects to make any Updates available to customers, it may use a third- 
party platform provider, such as Amazon Web Services, to assist in doing so. 


Prior to being distributed or otherwise made available to customers, any 
Updates will be scanned to identify and remediate the Open Web Application 
Security Project's top ten application vulnerabilities, to the extent applicable 
to the Software. As of the drafting date of this document, those application 
vulnerabilities include: injection, broken authentication, sensitive data 
exposure, XML External Entities, broken access control, security 
misconfigurations, cross-site scripting, insecure deserialization, using 
components with known vulnerabilities, and insufficient logging and 
monitoring. 


Okta will perform penetration testing of the Software at least once annually. 


Language 


The governing language of this Okta Access Gateway Security and Privacy Documentation is 
English. Any Japanese language version of this Okta Access Gateway Security and Privacy 
Documentation is for reference purposes only. If there is any conflict between the English and 
Japanese version, the English version shall prevail. 


Okta Access Gateway の 


セキ ュ リ ティ お よび プラ イバシー に 関す る 文書 
(2019 年 10 月 31 日 発効 ) 


Okta の セキ ュ リ ティ お よび プラ イバシー へ の 取り 組み 


Okta は 、 お 客 様 の 信頼 を 獲得 し 、 維 持 す る た め に 尽力 する も の で あり 、 一 連 の 製品 お よび サー 
ビス 全体 を 通じ た デー タ 保 護 問題 を 慎重 に 考慮 し た 包括 的 な セキ ュ リ ティ お よび プラ イバシー 
プロ グラ ム を 提供 する 。 


本 文書 で は 、 オ ンプ レミ ス の Okta Access Gateway ソフ トウ ェ ア 製 品 お よび その ソフ トウ ェ ア ア 
ッ プ デー ト ま た は 変更 (「 ア ッ プ デー ト 」) に つい て (総称 し て 「 本 ソフト ウェ ア 」) 、Okta 
が 従う セキュリ ティ 関連 お よび プラ イバシー 関連 の 慣行 に つい て 説明 する 。 


・ Okta は 本 ソフ トウ ェ ア に 含ま れる サー ド パ ペー ティ 製 (オー プン ソー ス を 含む ) 
コン ボー ネン ト の 身元 を 確認 する た め に 、 本 ソフ トウ ェ ア の コー ド ベ ー ス の 
ND a 
れ た 場合 、 そ の 範囲 で 、 本 ソフ トウ ェ ア の コー ド ベ ー ス の 追加 レビ ュー を 行 
うた め に 、 必 要 に 応じ て 随時 第 三 者 レビ ュー を 委託 する 。 


・ Okta が アッ プ デ ー ト を お 客 様 に 提供 する こと を 選択 し た 場合 、Amazon Web 
Services な どの 第 三 者 プラ ッ ト フ ォ ー ム プロ バイ ダ を 利用 し て アッ プ デ ー ト 提 
供 の 支援 を 得る こと が で きる 。 


・ お お客 様 に 配布 また は その 他 の 方 法 で 提供 され る 前 に 、 ア ッ プ デー ト は スキ ャ 
ン さ れ 、Open Web Application Security Project の アプ リケーション 脆弱 性 トッ 
プ 10 を 特定 し 、 本 ソフ トウ ェ ア に 適用 の ある 範囲 で 修正 され る 。 本 文書 の 作 
成 日 現在 、 こ れ ら の アプ リケーション 脆弱 性 に は 、 イ ンジ ェクション 、 認 証 
の 破損 、 機 密 デ ー タ の 公開 、XML 外部 エン ティ ティ 、 ア クセ ス 制 御 の 破 損 、 
セキ ュ リ ティ 設定 の 誤り 、 ク ロス サイ トス クリ プティ ング 、 安 全 で な い 逆 シシ 
リア ル 化 、 既 知 の 脆弱 性 を 持つ コン ポー ネン ト の 使用 、 お よび 不 十分 な ログ 
お よび 監視 が 含ま れる 。 


・ Okta は 、 少 な く と も 年 に 1 回 、 本 ソフ トウ ェ ア の 侵入 テス ト を 実施 する 。 
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